Datenschutz & Compliance: Anforderungen an Whistleblowing-Systeme
Zu den Standardelementen effektiver Compliance-Systeme gehören Hinweisgebersysteme, durch die vermeintliche Regelverstöße, in der Regel anonym, an die im Unternehmen zuständige Stelle, meist die Compliance- oder Rechtsabteilung aber auch an externer Dritte, gemeldet werden können. Die jüngste Orientierungshilfe der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder („Datenschutzkonferenz“, DSK) zur Auslegung der Datenschutz-Grundverordnung (DS-GVO) befasst sich mit den datenschutzrechtlichen Anforderungen an solche sog. Whistleblowing-Systeme oder Hotlines. Hieraus ergeben sich wichtige Erkenntnisse für deren Ausgestaltung.
Datenschutzrechtliche Relevanz und Zulässigkeit
Bei der Meldung eines nicht regelkonformen Verhaltens im Unternehmen werden personenbezogene Daten verarbeitet, zum einen hinsichtlich der gemeldeten Person und deren (behaupteten) Verstoß, zum anderen – soweit kein anonymes Meldesystem eingerichtet ist – hinsichtlich des Hinweisgebers und dessen Beobachtung. Vor diesem Hintergrund bedarf eine Meldung einer datenschutzrechtlichen Erlaubnis.
Dies ist unproblematisch, sofern eine rechtliche Pflicht des Unternehmens zur Einrichtung eines Whistleblowing-Systems besteht, wie es beispielsweise im Bankensektor der Fall ist (§25a Abs. 1 S. 6 Nr. 3 KWG). Denn ist die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich, ist sie gem. Art. 6 Abs. 1 S. 1 lit. c DS-GVO auch datenschutzrechtlich zulässig.
Im Übrigen ist die datenschutzrechtliche Zulässigkeit von Whistleblowing-Systemen regelmäßig nach der „Generalklausel“ des Art. 6 Abs. 1 S. 1 lit. f DS-GVO zu beurteilen. Die Meldung von Missständen kann grundsätzlich zur Verwirklichung „berechtigter Interessen“ für erforderlich gehalten werden, die sowohl beim Unternehmen als auch bei Dritten, denen Daten ggf. übermittelt werden (z.B. Geschädigte), vorliegen. Allerdings ist eine Datenverarbeitung zur Wahrung berechtigter Interessen nur zulässig, wenn die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen nicht überwiegen. Die DSK differenziert insoweit zwischen verschiedenen Arten von Verstößen:
- Bei Verhaltensweisen, die einen sich gegen das Unternehmensinteresse richtenden Straftatbestand (z.B. Betrug, Korruption, Geldwäsche, Insiderhandel) erfüllen oder die gegen Menschenrechte oder Umweltschutzbelange verstoßen (sog. „harte Faktoren“), wird das Interesse der beschuldigten Person am Schutz des Rechts auf informationelle Selbstbestimmung regelmäßig hinter den Unternehmensinteressen zurücktreten.
- Bei Verhaltensweisen, die unternehmensinterne Ethikregeln beeinträchtigen (sog. „weiche Faktoren“, z.B. „Freundlichkeit bei der Kundenbetreuung“), wird dagegen in der Regel davon auszugehen sein, dass ein überwiegendes Interesse der beschuldigten Person besteht und die Datenverarbeitung infolgedessen insoweit unzulässig ist.
Was den Schutz der Hinweisgeber betrifft, empfiehlt die DSK ausdrücklich, dass Verstöße in der Regel anonym zu melden sind; es gibt keine Rechtsgrundlage für die Verarbeitung von Angaben zur Identität der Hinweisgeber. Etwas anderes gilt nur dann, wenn der Hinweisgeber in die Preisgabe der Identität eingewilligt hat.
Datenschutzgerechte Ausgestaltung und Informationspflichten
Um ein Hinweisgebersystem datenschutzkonform auszugestalten, muss neben der anonymen Meldemöglichkeit eine Reihe weiterer Vorgaben beachtet werden. Dies gilt insbesondere für die Information der beschuldigten Person, die nach Art. 14 DS-GVO u.a. hinsichtlich Speicherung, Datenarten und Zweckbestimmung spätestens einen Monat nach der Meldung zu erfolgen hat. Insoweit besteht ein offensichtliches Spannungsverhältnis zum Unternehmensinteresse, einem Vorwurf zunächst umfassend nachzugehen und ggf. erforderliche Beweise zu sammeln. Vor diesem Hintergrund geht die DSK zutreffend davon aus, dass die Information solange nicht erteilt werden muss, solange sie die Verwirklichung der Ziele der Verarbeitung ernsthaft beeinträchtigen würde oder ein Geheimhaltungsinteresse besteht.
Darüber hinaus sind nach der DSK die relevanten Daten innerhalb von zwei Monaten nach Abschluss der Untersuchung zu löschen. Eine längere Speicherung ist nur für die Dauer der Klärung erforderlicher weiterer rechtlicher Schritte wie Disziplinarverfahren oder Einleitung von Strafverfahren zulässig. Ggf. erhobene irrelevante Daten sind stets unverzüglich zu löschen.
Im Übrigen unterliegt ein Verfahren zur Meldung von Regelverstößen wegen des besonders hohen Risikos für Rechte und Freiheiten der beschuldigten Personen einer Datenschutz-Folgenabschätzung. Zudem ist der Datenschutzbeauftragte frühzeitig und ordnungsgemäß in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubeziehen.
Fazit
Unternehmensinterne Whistleblowing-Systeme lassen sich datenschutzgerecht einrichten und betreiben. Allerdings müssen Unternehmen ihre Meldeverfahren im Lichte der DS-GVO auf den Prüfstand stellen (lassen), damit das Hinweisgebersystem nicht selbst zu einem Fall von Non-Compliance wird. Die Orientierungshilfe der DSK vom 14.11.2018 gibt hierbei wertvolle Anhaltspunkte bezüglich der datenschutzrechtlichen Zulässigkeit und Grenzen von Whistleblowing-Hotlines sowie dem Umgang mit den neuen datenschutzrechtlichen Informationspflichten.
6. März 2019